CN111404879A - 一种网络威胁的可视化方法及装置 - Google Patents
一种网络威胁的可视化方法及装置 Download PDFInfo
- Publication number
- CN111404879A CN111404879A CN202010121558.0A CN202010121558A CN111404879A CN 111404879 A CN111404879 A CN 111404879A CN 202010121558 A CN202010121558 A CN 202010121558A CN 111404879 A CN111404879 A CN 111404879A
- Authority
- CN
- China
- Prior art keywords
- threat
- cyber
- network
- cyber threat
- display area
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000007794 visualization technique Methods 0.000 title claims abstract description 12
- 238000012800 visualization Methods 0.000 claims abstract description 71
- 238000000034 method Methods 0.000 claims description 32
- 238000001514 detection method Methods 0.000 claims description 10
- 230000004044 response Effects 0.000 claims description 10
- 230000008569 process Effects 0.000 claims description 3
- 230000006870 function Effects 0.000 description 15
- 238000004891 communication Methods 0.000 description 11
- 238000010586 diagram Methods 0.000 description 7
- 238000012545 processing Methods 0.000 description 6
- 238000004590 computer program Methods 0.000 description 4
- 230000008878 coupling Effects 0.000 description 3
- 238000010168 coupling process Methods 0.000 description 3
- 238000005859 coupling reaction Methods 0.000 description 3
- 238000013461 design Methods 0.000 description 3
- 239000008186 active pharmaceutical agent Substances 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 239000007943 implant Substances 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 230000003068 static effect Effects 0.000 description 2
- 241000700605 Viruses Species 0.000 description 1
- 238000004458 analytical method Methods 0.000 description 1
- 230000006378 damage Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 239000000835 fiber Substances 0.000 description 1
- 230000006386 memory function Effects 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 239000003826 tablet Substances 0.000 description 1
- 230000002123 temporal effect Effects 0.000 description 1
- XLYOFNOQVPJJNP-UHFFFAOYSA-N water Substances O XLYOFNOQVPJJNP-UHFFFAOYSA-N 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/90—Details of database functions independent of the retrieved data types
- G06F16/95—Retrieval from the web
- G06F16/958—Organisation or management of web site content, e.g. publishing, maintaining pages or automatic linking
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/04—Processing captured monitoring data, e.g. for logfile generation
- H04L43/045—Processing captured monitoring data, e.g. for logfile generation for graphical visualisation of monitoring data
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1483—Countermeasures against malicious traffic service impersonation, e.g. phishing, pharming or web spoofing
Abstract
本发明实施例提供一种网络威胁的可视化方法及装置,涉及网络安全技术领域,用于快速、准确的显示网络威胁事件的攻击流程,包括:检测用户的第一指令;第一指令包括网络威胁的关键词;关键词包括:受网络威胁影响的多个网际互连协议IP地址中的至少一个IP地址、网络威胁中的威胁事件、网络威胁的起始时间、网络威胁的终止时间或网络威胁的威胁等级中的至少一项;第一指令用于指示显示关键词对应的网络威胁的轨迹视图;响应第一指令,从已经存储的轨迹视图中,获取目标轨迹视图;轨迹视图用于表示网络威胁的攻击流程;目标轨迹视图与关键词对应;显示目标轨迹视图。
Description
技术领域
本发明涉及网络安全技术领域,尤其涉及一种网络威胁的可视化方法及装置。
背景技术
随着互联网技术的高速发展,网络威胁的范围和内容不断扩大。
目前,为了评估网络环境中面临的攻击风险,通常将网络环境中的网络威胁(例如网络信息被窃听、非授权访问、破坏防火墙等)以报表或者文档的形式展示。但是,这种网络威胁的展示方式比较繁琐,在网络威胁较为复杂的情况下,无法快速、准确的确定网络威胁的攻击流程。
发明内容
本发明实施例提供一种网络威胁的可视化方法及装置,用于快速、准确的显示网络威胁事件的攻击流程。
为达到上述目的,本发明实施例采用如下技术方案:
第一方面,提供一种网络威胁的可视化方法,包括:检测用户的第一指令;第一指令包括网络威胁的关键词;关键词包括:受网络威胁影响的多个网际互连协议IP地址中的至少一个IP地址、网络威胁中的威胁事件、网络威胁的起始时间、网络威胁的终止时间或网络威胁的威胁等级中的至少一项;第一指令用于指示显示关键词对应的网络威胁的轨迹视图;响应第一指令,从已经存储的轨迹视图中,获取目标轨迹视图;轨迹视图用于表示网络威胁的攻击流程;目标轨迹视图与关键词对应;显示目标轨迹视图。
可以看出,网络威胁的可视化装置在检测到用户用于指示显示关键词对应的网络威胁的轨迹视图的第一指令时,可以根据关键词直接从已经存储的轨迹视图中,获取并显示目标轨迹视图,相比现有技术,本申请可以快速、准确的显示网络威胁事件的攻击流程,进一步地提高了处理网络威胁的效率。
第二方面,提供一种网络威胁的可视化装置,包括:检测单元、响应单元和显示单元;检测单元,用于检测用户的第一指令;第一指令包括网络威胁的关键词;关键词包括:受网络威胁影响的多个网际互连协议IP地址中的至少一个IP地址、网络威胁中的威胁事件、网络威胁的起始时间、网络威胁的终止时间或网络威胁的威胁等级中的至少一项;第一指令用于指示显示关键词对应的网络威胁的轨迹视图;响应单元,用于响应检测单元检测到的第一指令,从已经存储的轨迹视图中,获取目标轨迹视图;目标轨迹视图与关键词对应;显示单元,用于显示目标轨迹视图。
第三方面,提供一种网络威胁的可视化装置,包括存储器和处理器。存储器用于存储计算机执行指令,处理器与存储器通过总线连接。当网络威胁的可视化装置运行时,处理器执行存储器存储的计算机执行指令,以使网络威胁的可视化装置执行第一方面所述的网络威胁的可视化方法。
该网络威胁的可视化装置可以是网络设备,也可以是网络设备中的一部分装置,例如网络设备中的芯片系统。该芯片系统用于支持网络设备实现第一方面及其任意一种可能的实现方式中所涉及的功能,例如,接收、确定、分流上述网络威胁的可视化方法中所涉及的数据和/或信息。该芯片系统包括芯片,也可以包括其他分立器件或电路结构。
第四方面,提供一种计算机可读存储介质,计算机可读存储介质包括计算机执行指令,当计算机执行指令在计算机上运行时,使得该计算机执行第一方面所述的网络威胁的可视化方法。
第五方面,提供一种计算机程序产品,该计算机程序产品包括计算机指令,当计算机指令在计算机上运行时,使得计算机执行如上述第一方面及其各种可能的实现方式所述的网络威胁的可视化方法。
需要说明的是,上述计算机指令可以全部或者部分存储在第一计算机可读存储介质上。其中,第一计算机可读存储介质可以与网络威胁的可视化装置的处理器封装在一起的,也可以与网络威胁的可视化装置的处理器单独封装,本申请对此不作限定。
本发明中第二方面、第三方面、第四方面以及第五方面的描述,可以参考第一方面的详细描述;并且,第二方面、第三方面、第四方面以及第五方面的描述的有益效果,可以参考第一方面的有益效果分析,此处不再赘述。
在本申请中,上述网络威胁的可视化装置的名字对设备或功能模块本身不构成限定,在实际实现中,这些设备或功能模块可以以其他名称出现。只要各个设备或功能模块的功能和本发明类似,属于本发明权利要求及其等同技术的范围之内。
本发明的这些方面或其他方面在以下的描述中会更加简明易懂。
附图说明
图1为本申请实施例提供的一种网络威胁的可视化系统的结构示意图;
图2为本申请实施例提供的一种网络威胁的可视化装置的硬件结构示意图;
图3为本申请实施例提供的又一种网络威胁的可视化装置的硬件结构示意图;
图4为本申请实施例提供的一种网络威胁的可视化方法的流程示意图一;
图5-1为本申请实施例提供的一种网络威胁A的具体流程示意图;
图5-2为本申请实施例提供的一种网络威胁A的轨迹视图一;
图6为本申请实施例提供的一种网络威胁的可视化方法的流程示意图二;
图7为本申请实施例提供的一种网络威胁A的轨迹视图二;
图8为本申请实施例提供的一种网络威胁的可视化方法的流程示意图三;
图9为本申请实施例提供的一种网络威胁A的轨迹视图三;
图10为本申请实施例提供的一种网络威胁的可视化方法的流程示意图四;
图11为本申请实施例提供的一种网络威胁的可视化装置的结构示意图;
图12为本申请实施例提供的又一种网络威胁的可视化装置的结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
需要说明的是,本申请实施例中,“示例性的”或者“例如”等词用于表示作例子、例证或说明。本申请实施例中被描述为“示例性的”或者“例如”的任何实施例或设计方案不应被解释为比其它实施例或设计方案更优选或更具优势。确切而言,使用“示例性的”或者“例如”等词旨在以具体方式呈现相关概念。
为了便于清楚描述本申请实施例的技术方案,在本申请实施例中,采用了“第一”、“第二”等字样对功能和作用基本相同的相同项或相似项进行区分,本领域技术人员可以理解“第一”、“第二”等字样并不是在对数量和执行次序进行限定。
目前,为了评估网络环境中面临的攻击风险,通常将网络环境中的网络威胁(例如网络信息被窃听、电子欺骗、非授权访问、传播病毒等)以报表或者文档的形式展示。但是,这种网络威胁的展示方式比较繁琐,在网络威胁较为复杂的情况下,无法快速、准确的确定网络威胁的攻击流程。
针对上述问题,本申请实施例提供了一种网络威胁的可视化方法,网络威胁的可视化装置通过轨迹视图的形式,将网络威胁展示出来,相比现有技术,本申请可以快速、准确的显示网络威胁事件的攻击流程,进一步地提高了处理网络威胁的效率。
本申请实施例提供的网络威胁的可视化方法适用于网络威胁的可视化系统10。图1示出了该网络威胁的可视化系统10的一种结构。如图1所示,该网络威胁的可视化系统10包括:两个终端11、网络威胁的可视化装置12和两个服务器13。其中,网络威胁的可视化装置12分别与两个终端11和两个服务器13通过网络连接,该网络可以是通过有线或无线技术提供的任何网络架构。其中,网络威胁的可视化装置12用于通过轨迹视图的形式,将网络威胁展示出来。
需要说明的是,图1示出的两个终端11和两个服务器13仅仅是本申请实施例提供的一种实现方式,在实际应用中,网络威胁的可视化装置12还可以连接多个终端11和多个服务器13,本申请对此不作限定。
可选的,上述终端11可以为各种具有通信功能的手持设备、车载设备、可穿戴设备、计算机、智能家居设备或智能办公设备,本申请实施例对此不作任何限定。例如,手持设备可以是智能手机。车载设备可以是车载导航系统。可穿戴设备可以是智能手环。计算机可以是个人数字助理(personal digital assistant,PDA)电脑、平板型电脑以及膝上型电脑(laptop computer)。智能家居设备可以是智能窗帘、智能水表。智能办公设备可以是智能打印机。
图1中的服务器13可以是服务器集群(由多个服务器组成)中的一个服务器,也可以是该服务器中的芯片,还可以是该服务器中的片上系统,还可以通过部署在物理机上的虚拟机(virtual machine,VM)实现,本申请实施例对此不作限定。
网络威胁的可视化系统10中的两个终端11、网络威胁的可视化装置12和两个服务器13的基本硬件结构类似,都包括图2所示网络威胁的可视化装置所包括的元件。下面以图2所示的网络威胁的可视化装置为例,介绍网络威胁的可视化系统10中的两个终端11、网络威胁的可视化装置12和两个服务器13的硬件结构。
图2示出了本申请实施例提供的网络威胁的可视化装置的一种硬件结构示意图。如图2所示,该网络威胁的可视化装置包括处理器21,存储器22、通信接口23、总线24。处理器21,存储器22以及通信接口23之间可以通过总线24连接。
处理器21是网络威胁的可视化装置的控制中心,可以是一个处理器,也可以是多个处理元件的统称。例如,处理器21可以是一个通用中央处理单元(central processingunit,CPU),也可以是其他通用处理器等。其中,通用处理器可以是微处理器或者是任何常规的处理器等。
作为一种实施例,处理器21可以包括一个或多个CPU,例如图2中所示的CPU 0和CPU 1。
存储器22可以是只读存储器(read-only memory,ROM)或可存储静态信息和指令的其他类型的静态存储设备,随机存取存储器(random access memory,RAM)或者可存储信息和指令的其他类型的动态存储设备,也可以是电可擦可编程只读存储器(electricallyerasable programmable read-only memory,EEPROM)、磁盘存储介质或者其他磁存储设备、或者能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质,但不限于此。
一种可能的实现方式中,存储器22可以独立于处理器21存在,存储器22可以通过总线24与处理器21相连接,用于存储指令或者程序代码。处理器21调用并执行存储器22中存储的指令或程序代码时,能够实现本发明实施例提供的网络威胁的可视化方法。
另一种可能的实现方式中,存储器22也可以和处理器21集成在一起。
通信接口23,用于与其他设备通过通信网络连接。所述通信网络可以是以太网,无线接入网,无线局域网(wireless local area networks,WLAN)等。通信接口23可以包括用于接收数据的接收单元,以及用于发送数据的发送单元。
总线24,可以是工业标准体系结构(industry standard architecture,ISA)总线、外部设备互连(peripheral component interconnect,PCI)总线或扩展工业标准体系结构(extended industry standard architecture,EISA)总线等。该总线可以分为地址总线、数据总线、控制总线等。为便于表示,图2中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
需要指出的是,图2示出的结构并不构成对该网络威胁的可视化装置的限定。除图2所示部件之外,该网络威胁的可视化装置可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。
图3示出了本申请实施例中网络威胁的可视化装置的另一种硬件结构。如图3所示,网络威胁的可视化装置可以包括处理器31以及通信接口32。处理器31与通信接口32耦合。
处理器31的功能可以参考上述处理器21的描述。此外,处理器31还具备存储功能,可以参考上述存储器22的功能。
通信接口32用于为处理器31提供数据。该通信接口32可以是网络威胁的可视化装置的内部接口,也可以是网络威胁的可视化装置对外的接口(相当于通信接口23)。
需要指出的是,图2(或图3)中示出的结构并不构成对网络威胁的可视化装置的限定,除图2(或图3)所示部件之外,该网络威胁的可视化装置可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。
下面结合上述图1示出的网络威胁的可视化系统和上述图2(或图3)示出的网络威胁的可视化装置,对本申请实施例提供的网络威胁的可视化方法进行详细介绍。
图4为本申请实施例提供的一种网络威胁的可视化方法的流程示意图。如图4所示,该网络威胁的可视化方法包括下述S401-S402。
S401、网络威胁的可视化装置获取第一信息。
互联网系统中的每个网络设备对应一个IP地址。当互联网系统发生网络威胁时,网络威胁的可视化装置可以获取第一信息。其中,第一信息包括:受网络威胁影响的多个网际互连协议(internet protocol,IP)地址和网络威胁中的威胁事件;威胁事件为网络威胁发生的因素。
示例性的,如图5-1所示,网络威胁A为读取服务器D中的目标数据。具体攻击流程为:设备A向设备B发出钓鱼邮件。设备B在打开钓鱼邮件后,自动连接设备C。设备C在与设备B建立连接后,向设备B非法植入病毒软件。由于设备B为服务器D的白名单设备,因此,设备B在被植入病毒软件后,会自动向服务器D发出数据请求,请求读取服务器D中存储的目标数据。在读取到服务器D中存储的目标数据后,设备B默认向设备A回复目标数据。
在发生该网络威胁A后,网络威胁的可视化装置可以获取设备B和服务器C的IP地址,并通过设备B获取设备A和设备C的IP地址。设备A的IP地址、设备B的IP地址、设备C的IP地址和服务器D的IP地址即为受网络威胁影响的IP地址。网络威胁A发生的因素包括:设备A向设备B发出钓鱼邮件的事件、设备B在打开钓鱼邮件后,自动连接设备C的事件、设备C在与设备B建立连接后,向设备B非法植入病毒软件的事件、设备B请求读取服务器D中存储的目标数据的事件和设备B默认向设备A回复目标数据的事件。上述因素即为网络威胁A的威胁事件。
S402、网络威胁的可视化装置根据第一信息生成并存储网络威胁的轨迹视图。
在获取到第一信息之后,网络威胁的可视化装置根据第一信息生成并存储网络威胁的轨迹视图。轨迹视图用于表示网络威胁的攻击流程。可选的,网络威胁的可视化装置可以通过Neo4j图数据库的形式,存储生成的轨迹视图。
Neo4j图数据库可以在网络设备与网络威胁的关系较为复杂的情况下,快速、准确的显示网络威胁的轨迹视图。其中,Neo4j图数据库由节点和连线构成,节点和连线可以构建任何图形,并进行存储。
具体的,轨迹视图中包括第一显示区域。第一显示区域用于表示网络威胁的流程属性。第一显示区域中包括多个节点,每个节点与多个IP地址中的每个IP地址一一对应。多个IP地址中,存在网络威胁互联的IP地址所对应的节点之间相连;存在所述网络威胁互联的IP地址所对应的节点之间的连线用于表示威胁事件。即网络威胁的可视化装置根据获取到的受网络威胁影响的多个IP地址创建节点,每个节点与多个IP地址中的每个IP地址一一对应。然后将存在网络威胁互联的IP地址所对应的节点之间相连。
示例性的,如图5-2所示,网络威胁A为读取服务器D中的目标数据。网络威胁A影响了设备A(对应IP1)、设备B(对应IP2)、设备C(对应IP3)和服务器D(对应IP4)。具体攻击流程为:设备A向设备B发出钓鱼邮件(威胁事件1)。设备B在打开钓鱼邮件后,自动连接设备C(威胁事件2)。设备C在与设备B建立连接后,向设备B非法植入病毒软件(威胁事件3)。由于设备B为服务器D的白名单设备,因此,设备B在被植入病毒软件后,会自动向服务器D发出数据请求,请求读取服务器D中存储的目标数据(威胁事件4)。在读取到服务器D中存储的目标数据后,设备B默认向设备A回复目标数据(威胁事件5)。
在发生网络威胁A后,网络威胁的可视化装置获取IP1、IP2、IP3、IP4、威胁事件1、威胁事件2、威胁事件3、威胁事件4和威胁事件5,然后根据IP1、IP2、IP3和IP4创建节点1(对应IP1)、节点2(对应IP2)、节点3(对应IP3)和节点4(对应IP4)。由于IP1和IP2之间存在网络威胁互联关系,IP1和IP2之间存在网络威胁互联关系,IP2和IP3之间存在网络威胁互联关系,IP3和IP4之间存在网络威胁互联关系,因此,通过连线1(对应威胁事件1)和连线5(对应威胁事件5)连接节点1和节点2,通过连线2(对应威胁事件2)和连线3(对应威胁事件3)连接节点2和节点3,通过连线4(对应威胁事件4)连接节点1和节点4。然后,网络威胁的可视化装置在第一显示区域显示该网络威胁A的整体流程。
可选的,为了更加完整展示网络威胁的轨迹视图,网络威胁的轨迹视图中还包括第二显示区域,第二显示区域用于表示网络威胁的时间属性。网络威胁的可视化装置还可以在轨迹视图中添加时间属性。结合上述图4,如图6所示,该网络威胁的可视化方法在S402之后,还可以包括下述S501-S502。
S501、网络威胁的可视化装置获取网络威胁的起始时间和网络威胁的终止时间。
具体的,网络威胁的可视化装置可以从发生第一个威胁事件的设备中,获取第一个威胁事件发生的时间,即网络威胁的起始时间。同理,网络威胁的可视化装置可以从发生最后一个威胁事件的设备中,获取最后一个威胁事件发生的时间,即网络威胁的终止时间。
S502、网络威胁的可视化装置在第二显示区域中显示网络威胁的起始时间和网络威胁的终止时间。
示例性的,结合上述图5-2,如图7所示,网络威胁的可视化装置获取通过设备A到网络威胁A的起始时间为2018年2月19日20:46:39和网络威胁A的终止时间为2018年2月19日20:49:05时,在第二显示区域显示起始时间:2018年2月19日20:46:39和终止时间:2018年2月19日20:49:05。
可选的,为了更加完整展示网络威胁的轨迹视图,网络威胁的轨迹视图中还包括第三显示区域,第三显示区域用于表示网络威胁的等级属性。网络威胁的可视化装置还可以在轨迹视图中添加等级属性。结合上述图4,如图8所示,该网络威胁的可视化方法在S402之后,还可以包括下述S601-S602。
S601、网络威胁的可视化装置获取网络威胁的威胁等级。
可选的,在发生网络威胁后,网络威胁的可视化装置可以根据网络威胁发生的时长确定网络威胁的威胁等级;也可以通过人为判定的方式确定网络威胁的威胁等级;还可以通过其他方式确定网络威胁的威胁等级,本申请实施例在此不作限定。
S602、网络威胁的可视化装置在第三显示区域中显示网络威胁的威胁等级。
示例性的,结合上述图5-2和图7,如图9所示,网络威胁的可视化装置确定网络威胁的威胁等级为A级后,在第三显示区域显示网络威胁的威胁等级为A。
由上可知,网络威胁的可视化装置在获取到受网络威胁影响的多个IP地址和网络威胁发生的因素时,可以通过用于表示网络威胁的攻击流程的轨迹视图的形式,将网络威胁展示出来,并在轨迹视图中添加时间属性和等级属性。相比现有技术,本申请可以快速、准确的显示网络威胁事件的攻击流程,进一步地提高了处理网络威胁的效率。
需要说明的是,网络威胁的可视化装置可以先执行S501-S502,后执行S601-S602;也可以先执行S601-S602,后执行S501-S502;还可以同时执行S501-S502和S601-S602。本申请实施例对此不作限定。
进一步可选的,网络威胁的可视化装置在生成并存储网络威胁的轨迹视图后,当检测到用户发出查询网络威胁的第一指令时,可以响应第一指令,显示与第一指令对应的网络威胁的轨迹视图。结合上述图4、图6和图8,如图10所示,该网络威胁的可视化方法在S402、S502或S602之后,还可以包括下述S701-S703。
S701、网络威胁的可视化装置检测用户的第一指令。
用户在查询目标网络威胁时,需要向网络威胁的可视化装置发送第一指令。其中,第一指令用于指示显示关键词对应的网络威胁的轨迹视图。第一指令中包括关键词。该关键词为网络威胁中的关键词,包括:受网络威胁影响的多个IP地址中的至少一个IP地址、网络威胁中的威胁事件、网络威胁的起始时间、网络威胁的终止时间或网络威胁的威胁等级中的至少一项。
S702、网络威胁的可视化装置响应第一指令,从已经存储的轨迹视图中,获取目标轨迹视图。
在检测到用户的第一指令后,网络威胁的可视化装置响应第一指令,并根据第一指令中的关键词,从已经存储的轨迹视图中,获取与关键词对应的目标轨迹视图。
示例性的,网络威胁的可视化装置检测到用户的第一指令后,确定第一指令中的关键词为:起始时间为2018年2月19日、终止时间为2018年2月20日。然后,网络威胁的可视化装置从已经存储的所述轨迹视图中,获取2018年2月19日-2018年2月20日中所有的网络威胁的轨迹视图,上述获取到的网络威胁的轨迹视图即为目标轨迹视图。
S703、网络威胁的可视化装置显示目标轨迹视图。
可选的,网络威胁的可视化装置可以通过图数据库的方式显示目标轨迹视图。图数据库是非关系型数据库(NoSQL,notonly structured query language)数据库的一种类型,是一种非关系型数据库,它应用图形理论存储实体之间的关系信息。可以快速准确的显示网络威胁事件的攻击流程。
由上可知,网络威胁的可视化装置在检测到用户发出查询网络威胁的第一指令时,可以根据第一指令,显示与第一指令对应的网络威胁的轨迹视图。相比现有技术,网络威胁的可视化装置显示的轨迹视图可以快速、准确的显示网络威胁事件的攻击流程,进一步地提高了处理网络威胁的效率。
上述主要从方法的角度对本申请实施例提供的方案进行了介绍。为了实现上述功能,其包含了执行各个功能相应的硬件结构和/或软件模块。本领域技术人员应该很容易意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,本申请实施例能够以硬件或硬件和计算机软件的结合形式来实现。某个功能究竟以硬件还是计算机软件驱动硬件的方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
本申请实施例可以根据上述方法示例对网络威胁的可视化装置进行功能模块的划分,例如,可以对应各个功能划分各个功能模块,也可以将两个或两个以上的功能集成在一个处理模块中。上述集成的模块既可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。可选的,本申请实施例中对模块的划分是示意性的,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式。
如图11所示,为本申请实施例提供的一种网络威胁的可视化装置的结构示意图。该网络威胁的可视化装置用于快速、准确的显示网络威胁事件的攻击流程,例如用于执行图4、图6、图8或图10所示的网络威胁的可视化方法,包括:检测单元801、响应单元802和显示单元803。
检测单元801,用于检测用户的第一指令;第一指令包括网络威胁的关键词;关键词包括:受网络威胁影响的多个网际互连协议IP地址中的至少一个IP地址、网络威胁中的威胁事件、网络威胁的起始时间、网络威胁的终止时间或网络威胁的威胁等级中的至少一项;第一指令用于指示显示关键词对应的网络威胁的轨迹视图。例如,结合图10,检测单元801可以用于执行S701。
响应单元802,用于响应检测单元801检测到的第一指令,从已经存储的轨迹视图中,获取目标轨迹视图;轨迹视图用于表示网络威胁的攻击流程;目标轨迹视图与关键词对应。例如,结合图10,响应单元802可以用于执行S702。
显示单元803,用于显示目标轨迹视图。例如,结合图10,显示单元803可以用于执行S703。
可选的,轨迹视图包括第一显示区域;第一显示区域用于表示网络威胁的流程属性;第一显示区域包括多个节点,每个节点与多个IP地址中的每个IP地址一一对应;多个IP地址中,存在网络威胁互联的IP地址所对应的节点之间相连;存在网络威胁互联的IP地址所对应的节点之间的连线用于表示威胁事件。
如图12所示,网络威胁的可视化装置还包括:获取单元804和生成单元805。
获取单元804,用于获取网络威胁的第一信息;第一信息包括:受网络威胁影响的IP地址和网络威胁中的威胁事件;威胁事件为网络威胁发生的因素。例如,结合图4、图6、图8或图10所示,获取单元804可以用于执行S401。
生成单元805,用于根据获取单元获取的第一信息,生成并存储网络威胁的轨迹视图。例如,结合图4、图6、图8或图10所示,生成单元805可以用于执行S402。
可选的,轨迹视图还包括第二显示区域;第二显示区域用于表示网络威胁的时间属性;网络威胁的第一信息还包括:网络威胁的起始时间和网络威胁的终止时间。
显示单元803,还用于在第二显示区域中显示网络威胁的起始时间和网络威胁的终止时间。例如,结合图6或图10所示,显示单元803可以用于执行S502。
可选的,轨迹视图还包括第三显示区域;第三显示区域用于表示网络威胁的等级属性;网络威胁的第一信息还包括:网络威胁的威胁等级。
显示单元803,还用于在第三显示区域中显示网络威胁的威胁等级。例如,结合图8或图10所示,显示单元803可以用于执行S602。
本申请实施例还提供一种计算机可读存储介质,计算机可读存储介质包括计算机执行指令。当计算机执行指令在计算机上运行时,使得计算机执行如上述实施例提供的网络威胁的可视化方法中,网络威胁的可视化装置执行的各个步骤。
本申请实施例还提供一种计算机程序产品,该计算机程序产品可直接加载到存储器中,并含有软件代码,该计算机程序产品经由计算机载入并执行后能够实现上述实施例提供的网络威胁的可视化方法中,网络威胁的可视化装置执行的各个步骤。
在上述实施例中,可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件程序实现时,可以全部或部分地以计算机程序产品的形式来实现。该计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行计算机执行指令时,全部或部分地产生按照本申请实施例的流程或功能。计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输,例如,计算机指令可以从一个网站站点、计算机、服务器或者数据中心通过有线(例如同轴电缆、光纤、数字用户线(digitalsubscriber line,DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可以用介质集成的服务器、数据中心等数据存储设备。可用介质可以是磁性介质(例如,软盘、硬盘、磁带),光介质(例如,DVD)、或者半导体介质(例如固态硬盘(solidstate disk,SSD))等。
通过以上的实施方式的描述,所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,仅以上述各功能模块的划分进行举例说明,实际应用中,可以根据需要而将上述功能分配由不同的功能模块完成,即将装置的内部结构划分成不同的功能模块,以完成以上描述的全部或者部分功能。
在本发明所提供的几个实施例中,应该理解到,所揭露的装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述模块或单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式。例如多个单元或组件可以结合或者可以集成到另一个装置,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是一个物理单元或多个物理单元,即可以位于一个地方,或者也可以分布到多个不同地方。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个可读取的存储介质中。基于这样的理解,本申请实施例的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该软件产品存储在一个存储介质中,包括若干指令用以使得一个设备(可以是单片机,芯片等)或处理器(processor)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以权利要求的保护范围为准。
Claims (10)
1.一种网络威胁的可视化方法,其特征在于,包括:
检测用户的第一指令;所述第一指令包括所述网络威胁的关键词;所述关键词包括:受所述网络威胁影响的多个网际互连协议IP地址中的至少一个IP地址、所述网络威胁中的威胁事件、所述网络威胁的起始时间、所述网络威胁的终止时间或所述网络威胁的威胁等级中的至少一项;所述第一指令用于指示显示所述关键词对应的网络威胁的轨迹视图;
响应所述第一指令,从已经存储的轨迹视图中,获取目标轨迹视图;所述轨迹视图用于表示所述网络威胁的攻击流程;所述目标轨迹视图与所述关键词对应;
显示所述目标轨迹视图。
2.根据权利要求1所述的网络威胁的可视化方法,其特征在于,所述轨迹视图包括第一显示区域;所述第一显示区域用于表示所述网络威胁的流程属性;所述第一显示区域包括多个节点,每个节点与所述多个IP地址中的每个IP地址一一对应;所述多个IP地址中,存在所述网络威胁互联的IP地址所对应的节点之间相连;所述存在所述网络威胁互联的IP地址所对应的节点之间的连线用于表示所述威胁事件;
所述网络威胁的可视化方法还包括:
获取网络威胁的第一信息;所述第一信息包括:所述受所述网络威胁影响的IP地址和所述网络威胁中的威胁事件;所述威胁事件为所述网络威胁发生的因素;
根据所述第一信息,生成并存储所述网络威胁的轨迹视图。
3.根据权利要求2所述的网络威胁的可视化方法,其特征在于,所述轨迹视图还包括第二显示区域;所述第二显示区域用于表示所述网络威胁的时间属性;所述网络威胁的第一信息还包括:所述网络威胁的起始时间和所述网络威胁的终止时间;
所述网络威胁的可视化方法还包括:
在所述第二显示区域中显示所述网络威胁的起始时间和所述网络威胁的终止时间。
4.根据权利要求2或3所述的网络威胁的可视化方法,其特征在于,所述轨迹视图还包括第三显示区域;所述第三显示区域用于表示所述网络威胁的等级属性;所述网络威胁的第一信息还包括:所述网络威胁的威胁等级;
所述网络威胁的可视化方法还包括:
在所述第三显示区域中显示所述网络威胁的威胁等级。
5.一种网络威胁的可视化装置,其特征在于,包括:检测单元、响应单元和显示单元;
所述检测单元,用于检测用户的第一指令;所述第一指令包括所述网络威胁的关键词;所述关键词包括:受所述网络威胁影响的多个网际互连协议IP地址中的至少一个IP地址、所述网络威胁中的威胁事件、所述网络威胁的起始时间、所述网络威胁的终止时间或所述网络威胁的威胁等级中的至少一项;所述第一指令用于指示显示所述关键词对应的网络威胁的轨迹视图;
所述响应单元,用于响应所述检测单元检测到的所述第一指令,从已经存储的轨迹视图中,获取目标轨迹视图;所述轨迹视图用于表示所述网络威胁的攻击流程;所述目标轨迹视图与所述关键词对应;
所述显示单元,用于显示所述目标轨迹视图。
6.根据权利要求5所述的网络威胁的可视化装置,其特征在于,所述轨迹视图包括第一显示区域;所述第一显示区域用于表示所述网络威胁的流程属性;所述第一显示区域包括多个节点,每个节点与所述多个IP地址中的每个IP地址一一对应;所述多个IP地址中,存在所述网络威胁互联的IP地址所对应的节点之间相连;所述存在所述网络威胁互联的IP地址所对应的节点之间的连线用于表示所述威胁事件;
所述网络威胁的可视化装置还包括:获取单元和生成单元;
所述获取单元,用于获取网络威胁的第一信息;所述第一信息包括:所述受所述网络威胁影响的IP地址和所述网络威胁中的威胁事件;所述威胁事件为所述网络威胁发生的因素;
所述生成单元,用于根据所述获取单元获取的所述第一信息,生成并存储所述网络威胁的轨迹视图。
7.根据权利要求6所述的网络威胁的可视化装置,其特征在于,所述轨迹视图还包括第二显示区域;所述第二显示区域用于表示所述网络威胁的时间属性;所述网络威胁的第一信息还包括:所述网络威胁的起始时间和所述网络威胁的终止时间;
所述显示单元,还用于在所述第二显示区域中显示所述网络威胁的起始时间和所述网络威胁的终止时间。
8.根据权利要求6或7所述的网络威胁的可视化装置,其特征在于,所述轨迹视图还包括第三显示区域;所述第三显示区域用于表示所述网络威胁的等级属性;所述网络威胁的第一信息还包括:所述网络威胁的威胁等级;
所述显示单元,还用于在所述第三显示区域中显示所述网络威胁的威胁等级。
9.一种网络威胁的可视化装置,其特征在于,包括存储器和处理器;所述存储器用于存储计算机执行指令,所述处理器与所述存储器通过总线连接;当所述网络威胁的可视化装置运行时,所述处理器执行所述存储器存储的所述计算机执行指令,以使所述网络威胁的可视化装置执行如权利要求1-4任一项所述的网络威胁的可视化方法。
10.一种计算机存储介质,其特征在于,所述计算机存储介质包括计算机执行指令,当所述计算机执行指令在计算机上运行时,使得所述计算机执行如权利要求1-4任一项所述的网络威胁的可视化方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010121558.0A CN111404879A (zh) | 2020-02-26 | 2020-02-26 | 一种网络威胁的可视化方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010121558.0A CN111404879A (zh) | 2020-02-26 | 2020-02-26 | 一种网络威胁的可视化方法及装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN111404879A true CN111404879A (zh) | 2020-07-10 |
Family
ID=71413863
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010121558.0A Pending CN111404879A (zh) | 2020-02-26 | 2020-02-26 | 一种网络威胁的可视化方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111404879A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111880884A (zh) * | 2020-07-30 | 2020-11-03 | 北京微步在线科技有限公司 | 一种告警显示系统及显示方法 |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102340485A (zh) * | 2010-07-19 | 2012-02-01 | 中国科学院计算技术研究所 | 基于信息关联的网络安全态势感知系统及其方法 |
| CN102739649A (zh) * | 2012-05-25 | 2012-10-17 | 北京神州绿盟信息安全科技股份有限公司 | 确定网络威胁程度的方法及装置 |
| CN105681303A (zh) * | 2016-01-15 | 2016-06-15 | 中国科学院计算机网络信息中心 | 一种大数据驱动的网络安全态势监测及可视化方法 |
| CN106656991A (zh) * | 2016-10-28 | 2017-05-10 | 上海百太信息科技有限公司 | 一种网络威胁检测系统及检测方法 |
| CN106953837A (zh) * | 2015-11-03 | 2017-07-14 | 丛林网络公司 | 具有威胁可视化的集成安全系统 |
| CN109067815A (zh) * | 2018-11-06 | 2018-12-21 | 深信服科技股份有限公司 | 攻击事件溯源分析方法、系统、用户设备及存储介质 |
| CN110149327A (zh) * | 2019-05-20 | 2019-08-20 | 中国南方电网有限责任公司 | 网络安全威胁的告警方法、装置、计算机设备和存储介质 |
| CN110213077A (zh) * | 2019-04-18 | 2019-09-06 | 国家电网有限公司 | 一种确定电力监控系统安全事件的方法、装置及系统 |
| CN110336785A (zh) * | 2019-05-22 | 2019-10-15 | 北京瀚海思创科技有限公司 | 网络攻击链图的可视化方法及存储介质 |
-
2020
- 2020-02-26 CN CN202010121558.0A patent/CN111404879A/zh active Pending
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102340485A (zh) * | 2010-07-19 | 2012-02-01 | 中国科学院计算技术研究所 | 基于信息关联的网络安全态势感知系统及其方法 |
| CN102739649A (zh) * | 2012-05-25 | 2012-10-17 | 北京神州绿盟信息安全科技股份有限公司 | 确定网络威胁程度的方法及装置 |
| CN106953837A (zh) * | 2015-11-03 | 2017-07-14 | 丛林网络公司 | 具有威胁可视化的集成安全系统 |
| CN105681303A (zh) * | 2016-01-15 | 2016-06-15 | 中国科学院计算机网络信息中心 | 一种大数据驱动的网络安全态势监测及可视化方法 |
| CN106656991A (zh) * | 2016-10-28 | 2017-05-10 | 上海百太信息科技有限公司 | 一种网络威胁检测系统及检测方法 |
| CN109067815A (zh) * | 2018-11-06 | 2018-12-21 | 深信服科技股份有限公司 | 攻击事件溯源分析方法、系统、用户设备及存储介质 |
| CN110213077A (zh) * | 2019-04-18 | 2019-09-06 | 国家电网有限公司 | 一种确定电力监控系统安全事件的方法、装置及系统 |
| CN110149327A (zh) * | 2019-05-20 | 2019-08-20 | 中国南方电网有限责任公司 | 网络安全威胁的告警方法、装置、计算机设备和存储介质 |
| CN110336785A (zh) * | 2019-05-22 | 2019-10-15 | 北京瀚海思创科技有限公司 | 网络攻击链图的可视化方法及存储介质 |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111880884A (zh) * | 2020-07-30 | 2020-11-03 | 北京微步在线科技有限公司 | 一种告警显示系统及显示方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Felt et al. | Measuring {HTTPS} adoption on the web | |
| ES2866723T3 (es) | Métodos y sistemas de agregación de puntuaciones dinámicas de detección de fraude en línea | |
| US9883002B2 (en) | Method and system for accessing website | |
| CN106796556B (zh) | 仿真端点配置 | |
| US20210029011A1 (en) | Techniques for infrastructure analysis of internet-based activity | |
| CN104410546B (zh) | 实时处理系统的测试方法和装置 | |
| CN111193749B (zh) | 一种攻击溯源方法、装置、电子设备和存储介质 | |
| WO2020076617A1 (en) | Distributed application architectures using blockchain and distributed file systems | |
| CN108959430B (zh) | 广告推广数据获取方法、装置及设备 | |
| US10148683B1 (en) | ATO threat detection system | |
| US9954881B1 (en) | ATO threat visualization system | |
| CN113987074A (zh) | 分布式服务全链路监控方法、装置、电子设备及存储介质 | |
| CN108830093B (zh) | 终端设备操作权限的管理方法、服务器和终端设备 | |
| CN105095423B (zh) | 计数数据写入方法和装置 | |
| CN106412975B (zh) | 一种内容计费漏洞的测试方法和装置 | |
| CN104753730A (zh) | 一种漏洞检测的方法及装置 | |
| CN107274222B (zh) | 广告投放方法及装置 | |
| CN109582844A (zh) | 一种识别爬虫的方法、装置及系统 | |
| CN107360189A (zh) | 突破Web防护的漏洞扫描方法及装置 | |
| CN111404879A (zh) | 一种网络威胁的可视化方法及装置 | |
| CN111767481B (zh) | 访问处理方法、装置、设备和存储介质 | |
| CN110380902B (zh) | 拓扑关系生成方法、装置、电子设备及存储介质 | |
| CN109905486B (zh) | 一种应用程序识别展示方法和装置 | |
| CN109936528A (zh) | 监测方法、装置、设备及系统 | |
| CN115048294A (zh) | 测试执行方法和装置、存储介质及电子设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20200710 |
|
| RJ01 | Rejection of invention patent application after publication |